Des logiciels malveillants se cachent dans les polices de Canva, faites attention !

Les ingénieurs graphistes de Canva sont surpris. Ils n’auraient jamais imaginé qu’extraire une archive de polices pourrait libérer un malware.

Canva, une entreprise australienne bien connue dans le domaine de la conception graphique en ligne, redouble d’efforts pour renforcer la sécurité de ses processus. À la fin de l’année 2023, elle a introduit de nouveaux outils graphiques alimentés par l’IA. Récemment, ses spécialistes en sécurité ont exploré des aspects moins explorés des polices de caractères, mettant en lumière des vulnérabilités surprenantes et soulignant les risques potentiels pour la sécurité associés à leur utilisation.

Lire aussi :

  1. Choc énorme chez Volkswagen, suspension de la production de plusieurs voitures électriques !
  2. Trello change la donne : seuls 10 utilisateurs pour les espaces gratuits, les conséquences

3 vulnérabilités détectées

La première faille, référencée sous le code CVE-2023-45139, expose un problème de gravité élevée (7,5/10) dans FontTools, une bibliothèque Python. Canva a révélé qu’en utilisant un fichier XML non fiable lors du traitement d’un tableau SVG, une police de taille réduite pourrait être créée, exposant ainsi des risques de sécurité significatifs. Cette vulnérabilité met en lumière les complexités de la manipulation des polices de caractères, souvent négligées dans le domaine de la sécurité informatique.

Les deuxième et troisième vulnérabilités, CVE-2024-25081 et CVE-2024-25082, notées toutes deux à 4,2/10, révèlent des failles liées aux conventions de nommage et à la compression. Canva a souligné sur son blog que des outils populaires tels que FontForge et ImageMagick, utilisés pour renommer les fichiers de polices, peuvent introduire des problèmes de sécurité lorsqu’ils manipulent des données non fiables.

Les chercheurs ont également démontré qu’une simple exécution shell pourrait ouvrir des fichiers non autorisés, mettant ainsi en évidence l’étendue du risque associé à ces pratiques.

Analyse et projections

Dans leur publication sur leur blog, les développeurs ont expliqué qu’ils ont découvert une faille lors de l’analyse de la table des matières (TOC) par FontForge dans un fichier d’archive.

La TOC liste tous les fichiers compressés dans l’archive et FontForge l’utilise pour extraire un fichier de police pour y effectuer des actions.

Ils ont ensuite réussi à créer une archive contenant un nom de fichier malveillant en contournant les techniques traditionnelles de nettoyage des noms de fichiers, déclenchant ainsi le code d’exploitation.

Le paysage des polices de caractères est riche en surfaces d’attaque

Canva a souligné que le paysage des polices de caractères est vaste et diversifié, offrant de multiples surfaces d’attaque. En effet, tant les entreprises que les particuliers ont besoin de typographies uniques pour leurs projets, chacune avec ses propres spécifications et exigences. Cette diversité crée un terrain propice aux vulnérabilités, les polices de caractères devenant ainsi des vecteurs potentiels pour les attaques malveillantes.

Les chercheurs ont mis en avant la nécessité de traiter les polices de caractères avec le même niveau de méfiance que toute autre donnée non fiable. Malgré leur omniprésence dans le monde numérique, la sécurité des polices de caractères reste un domaine largement sous-étudié dans le domaine de la cybersécurité.

Ils ont souligné le besoin urgent de recherches approfondies et d’une meilleure compréhension des risques associés à l’utilisation des polices de caractères afin de renforcer la sécurité des systèmes et des applications.

Articles Récents